Stati della versione della chiave

Una versione della chiave ha un stato:

  • In attesa di generazione (PENDING_GENERATION): (si applica solo alle chiavi asimmetriche). Questa versione della chiave è ancora in fase di generazione. Non può essere ancora utilizzato, attivato, disattivato o distrutto. Cloud Key Management Service lo stato impostandolo automaticamente su Attivato non appena la versione è pronta.

  • In attesa di importazione (PENDING_IMPORT): Si applica solo alle chiavi importate. Questa versione della chiave è ancora in fase di importazione. it non può ancora essere utilizzato, abilitato, disabilitato o eliminato. Cloud Key Management Service imposta automaticamente lo stato su Attivato non appena la versione è pronta.

  • Abilitata (ENABLED): la versione della chiave è pronta per per gli utilizzi odierni.

  • Disabilitata (DISABLED): questa versione della chiave non può essere ma il materiale della chiave è ancora disponibile e la versione può essere riattivata.

  • Eliminazione pianificata (DESTROY_SCHEDULED): la versione della chiave è pianificata per l'eliminazione e verrà rapidamente distrutte. Quando una versione della chiave è in questo stato, non può essere utilizzata per le operazioni di crittografia e le richieste di utilizzo della chiave non vanno a buon fine. La versione della chiave può essere ripristinata allo stato disattivato nel periodo di eliminazione pianificato. Questo stato corrisponde alla fase 2 - Eliminazione temporanea nella pipeline di eliminazione dei dati.

  • Distrutta (DESTROYED): questa versione della chiave viene distrutta e il materiale della chiave non è più archiviato in Cloud KMS. Se la versione della chiave è stata utilizzata per la crittografia asimmetrica o simmetrica, qualsiasi testo cifrato criptato con questa versione non è recuperabile. Se la versione della chiave è stato utilizzato per la firma digitale, non è possibile crearne di nuove. Inoltre, in tutte le versioni delle chiavi asimmetriche, la chiave pubblica non è più disponibile scaricare l'app. Una volta inserito, una versione della chiave non può uscire dallo stato di eliminazione. Questo stato corrisponde Fase 3: eliminazione logica dai sistemi attivi nella pipeline di eliminazione dei dati, il che significa che il materiale della chiave viene eliminato da tutti sistemi Cloud KMS. Sono necessari 45 giorni dal momento della distruzione per l'eliminazione del materiale chiave da tutti i sistemi attivi e di backup di Google. Per ulteriori informazioni, consulta la tempistica di eliminazione di Cloud KMS.

  • Importazione non riuscita (IMPORT_FAILED): non è stato possibile importare questa versione della chiave. Vedi Risoluzione dei problemi non riuscita importazioni per ulteriori informazioni sulle condizioni che causano errori di importazione.

Modifica degli stati di una versione della chiave

Di seguito viene descritto in che modo una versione della chiave può cambiare stato:

  • Quando viene creata una versione della chiave per una chiave asimmetrica, inizia con lo stato in attesa di generazione. Quando Cloud KMS termina di generare la chiave lo stato diventa automaticamente abilitata.

  • Quando viene creata una versione della chiave per una chiave simmetrica, inizia con lo stato in un bucket in cui è abilitato il controllo delle versioni.

  • Una versione della chiave può passare da abilitata a disabilitata e da disabilitata a attivata utilizzando UpdateCryptoKeyVersion e interfacce a questo metodo. Per alcuni esempi, vedi Attivazione e disattivazione delle versioni della chiave.

  • Una versione della chiave abilitata o disabilitata può passare a pianificata per distruzione di codice DestroyCryptoKeyVersion e interfacce a questo metodo. Per esempi, consulta Pianificare l'eliminazione di una versione della chiave.

  • Una versione della chiave per la quale è stata pianificata l'eliminazione può essere reimpostata su disabilitata utilizzando RestoreCryptoKeyVersion e interfacce a questo metodo. Per alcuni esempi, consulta Ripristinare una versione della chiave.

Il seguente diagramma mostra gli stati consentiti per una versione della chiave.

Stati delle versioni delle chiavi

Tieni presente che solo le versioni delle chiavi per le chiavi asimmetriche iniziano nello stato di generazione in attesa. Le versioni delle chiavi per le chiavi simmetriche iniziano in stato attivo.

Impatto dello stato della versione della chiave sulle operazioni di crittografia

L'impatto dello stato della versione della chiave sulle operazioni crittografiche dipende dal fatto che la chiave venga utilizzata per:

  • Crittografia simmetrica
  • Crittografia asimmetrica o firma digitale

Crittografia simmetrica

Ogni chiave di crittografia simmetrica ha un design versione principale utilizzata in quel momento per criptare i dati. Affinché una chiave sia disponibile per la crittografia dei dati, è necessario che sia attiva una versione della chiave primaria.

Quando una chiave viene utilizzata per criptare il testo non cifrato, la relativa versione principale viene utilizzata per criptare i dati. Le informazioni sulla versione utilizzata per criptare i dati sono memorizzate nel testo cifrato dei dati. In un determinato momento, è possibile avere una sola versione di una chiave principale.

Se la versione della chiave primaria è disabilitata, non può essere utilizzata per criptare i dati. Tieni presente che una versione della chiave primaria abilitata può essere disabilitata, è stata pianificata l'eliminazione o l'eliminazione, mentre una versione non abilitata può rendere la versione principale.

La versione della chiave primaria non influisce sulla capacità di decriptare i dati. Una versione della chiave può essere utilizzata per decriptare i dati purché sia abilitata.

Crittografia asimmetrica o firma digitale

Ogni volta che una chiave asimmetrica viene utilizzata per la crittografia o la firma digitale, è necessario specificare la versione. Affinché la versione della chiave sia disponibile per la crittografia asimmetrica o la firma digitale, deve essere attivata. Tu può recuperare la chiave pubblica di una versione della chiave solo se la versione della chiave è abilitata.

Durata variabile dello stato pianificata per l'eliminazione

Per impostazione predefinita, le chiavi in Cloud KMS trascorrono 30 giorni nel campo Pianificato per stato di eliminazione (eliminato temporaneamente) prima che il materiale della chiave eliminato logicamente dal sistema. Questa durata può essere configurata, con le seguenti limitazioni:

  • La durata è configurabile solo durante la creazione della chiave.
  • Una volta specificata, la durata della chiave non può essere modificata.
  • La durata si applica a tutte le versioni della chiave create in futuro.
  • La durata minima è di 24 ore per tutte le chiavi, ad eccezione delle chiavi di sola importazione che hanno una durata minima di 0.
  • La durata massima è di 120 giorni.

Il valore viene configurato utilizzando il campo destroy_scheduled_duration di CryptoKey in CreateCryptoKeyRequest.

Ti consigliamo di utilizzare la durata predefinita di 30 giorni per tutte le chiavi, a meno che hai requisiti normativi o di applicazione specifici che richiedono un valore diverso.